Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Keamanan tingkat kolom (CLS) adalah fitur keamanan OneLake yang memungkinkan Anda memiliki akses ke kolom yang dipilih dalam tabel alih-alih akses penuh ke tabel. CLS memungkinkan Anda menentukan subset tabel yang dapat diakses pengguna. Data dalam kolom yang dihapus dari daftar tidak terlihat oleh pengguna.
Prasyarat
- Item data yang mendukung keamanan OneLake. Untuk daftar jenis item yang didukung, lihat Mulai menggunakan keamanan OneLake.
- Tinjau bagian batasan yang diketahui.
Memahami keamanan tingkat kolom
ClS keamanan OneLake diberlakukan dengan salah satu dari dua cara berikut:
- Tabel yang difilter di mesin Fabric: Kueri ke mesin Fabric, seperti notebook Spark, mengakibatkan pengguna hanya melihat kolom yang diizinkan untuk mereka lihat sesuai aturan CLS.
- Akses yang diblokir ke tabel: Tabel dengan aturan CLS yang diterapkan padanya tidak dapat dibaca di luar mesin Fabric yang didukung atau mesin pihak ketiga resmi yang memberlakukan keamanan OneLake. Akses untuk mesin yang tidak berwenang diblokir.
Untuk tabel yang difilter, perilaku berikut ini berlaku:
- Aturan CLS tidak membatasi akses ke pengguna dengan peran Admin, Anggota, dan Kontributor.
- Jika aturan CLS tidak cocok dengan tabel yang ditentukan, kueri gagal dan tidak ada kolom yang dikembalikan. Misalnya, jika CLS ditentukan untuk kolom yang bukan bagian dari tabel.
- Kueri pada tabel CLS mengalami kegagalan dengan pesan kesalahan jika pengguna termasuk dalam dua peran yang berbeda dan salah satu peran memiliki pengaturan keamanan tingkat baris (RLS).
- Aturan CLS hanya dapat diberlakukan untuk objek tabel parquet Delta.
- Aturan CLS yang diterapkan ke objek tabel non-Delta memblokir akses ke seluruh tabel untuk anggota peran.
- Jika pengguna menjalankan
select *kueri pada tabel di mana mereka hanya memiliki akses ke beberapa kolom, aturan CLS berperilaku berbeda tergantung pada mesin Fabric.- Buku catatan Spark: Kueri berhasil dan hanya memperlihatkan kolom yang diizinkan.
- Titik Akhir analitik SQL: Akses kolom diblokir untuk kolom yang tidak dapat diakses pengguna.
- Model semantik: Akses kolom diblokir untuk kolom yang tidak dapat diakses pengguna.
- Nama kolom aman mungkin terlihat dalam pengalaman tertentu, namun nilai data tidak pernah ditampilkan.
Mengakses data dari mesin yang diotorisasi
Mesin Fabric yang didukung dapat mengakses tabel dengan aturan CLS yang diterapkan padanya.
Petunjuk / Saran
- Untuk mengakses data dari titik akhir analitik SQL, aktifkan keamanan OneLake untuk titik akhir analitik SQL.
- Untuk mengakses data dari model semantik, model semantik perlu menggunakan Direct Lake di OneLake.
Mesin pihak ketiga yang berwenang dapat mengambil akses kolom yang efektif bagi pengguna dari OneLake dengan menggunakan API mesin berwenang dan menerapkan CLS pada waktu kueri. OneLake tetap menjadi sumber kebenaran tunggal, dan definisi CLS yang ditulis di OneLake diterapkan secara konsisten di seluruh mesin Fabric dan mesin eksternal resmi.
Untuk informasi selengkapnya, lihat Mengintegrasikan mesin pihak ketiga dengan keamanan OneLake.
Menentukan aturan keamanan tingkat kolom
Anda dapat menentukan keamanan tingkat kolom sebagai bagian dari peran keamanan OneLake untuk tabel Delta-parquet apa pun di bagian Tabel item. CLS selalu disetel untuk tabel dan berada dalam keadaan aktif atau nonaktif. Secara default, CLS dinonaktifkan dan pengguna memiliki akses ke semua kolom. Pengguna dapat mengaktifkan CLS dan menghapus kolom dari daftar untuk mencabut akses.
Penting
Menghapus akses ke kolom tidak menolak akses ke kolom tersebut jika peran lain memberikan akses ke kolom tersebut.
Gunakan langkah-langkah berikut untuk menentukan keamanan tingkat kolom:
Navigasi ke item data Anda dan pilih Kelola keamanan OneLake.
Pilih peran yang sudah ada yang ingin Anda tentukan keamanan tabel atau foldernya, atau pilih Baru untuk membuat peran baru.
Pada halaman detail peran, pilih opsi lainnya (...) di samping tabel yang ingin Anda tentukan CLS-nya, lalu pilih Keamanan kolom.
Cuplikan layar yang menunjukkan pemilihan 'keamanan kolom' untuk mengedit izin pada tabel.
Secara default, CLS untuk tabel dinonaktifkan. Pilih Aktifkan CLS atau buat aturan Baru untuk mengaktifkannya.
UI diisi dengan daftar kolom untuk tabel tersebut yang diizinkan untuk dilihat pengguna. Secara default, ini menunjukkan semua kolom.
Untuk membatasi akses ke kolom, pilih kotak centang di samping nama kolom, lalu pilih Hapus. Setidaknya satu kolom harus tetap berada dalam daftar kolom yang diizinkan.
Pilih Simpan untuk memperbarui peran.
Jika Anda ingin menambahkan kolom yang dihapus, pilih Aturan baru. Tindakan ini menambahkan entri aturan CLS baru ke akhir daftar. Kemudian, gunakan menu dropdown untuk memilih kolom yang ingin Anda sertakan dalam akses.
Setelah Anda menyelesaikan perubahan, pilih Simpan.
Menggabungkan keamanan tingkat baris dan tingkat kolom
Keamanan tingkat baris dan tingkat kolom dapat digunakan bersama-sama untuk membatasi akses pengguna ke tabel. Namun, kedua kebijakan tersebut harus diterapkan dengan menggunakan satu peran keamanan khusus pada OneLake. Dalam skenario ini, akses ke data dibatasi sesuai dengan aturan yang diatur dalam satu peran.
Keamanan OneLake tidak mendukung kombinasi dua peran atau lebih di mana satu berisi aturan RLS dan yang lain berisi aturan CLS. Pengguna yang mencoba mengakses tabel yang merupakan bagian dari kombinasi peran yang tidak didukung menerima kesalahan kueri.